Dal momento che l’attività ispettiva del Garante continuerà a riguardare i data breach e, alcune delle attività istruttorie hanno origine da una segnalazione di violazione dei dati, è particolarmente importante per le organizzazioni fare riferimento ai criteri e metodi provenienti da fonti istituzionali.
Il riesame delle procedure, predisposte per garantire la sicurezza delle attività di trattamento e la conformità dell’organizzazione agli obblighi normativi, richiede infatti interventi continui, anche e soprattutto in risposta ad orientamenti ed indicazioni provenienti da parte dell’autorità di controllo.
L’autorità garante per la protezione dei dati personali, ha di recente aggiornato la sezione dedicata alle violazioni dei dati personali, rendendo disponibile a titolari e responsabili un servizio online dedicato. Sono così state rese liberamente consultabili istruzioni, linee guida e strumenti utili per la gestione degli adempimenti relativi agli eventi di data breach.
È bene infatti ricordare, che un processo di gestione delle violazioni di sicurezza, deve essere obbligatoriamente adottato da parte di tutti i titolari e responsabili del trattamento al fine di adempiere alle prescrizioni degli artt. 24, 32, 33 e 34 GDPR.
In tale ambito, è infatti fondamentale dimostrare operativamente, in ragione del principio di responsabilizzazione, la predisposizione di misure tecniche e organizzative, innanzitutto per la rilevazione tempestiva degli incidenti di sicurezza, dunque per la loro analisi e gestione secondo le prescrizioni del Regolamento.
Lo strumento di autovalutazione offerto è utile proprio come linea guida per orientare e documentare le scelte, tanto del titolare quanto del responsabile, e poter così produrre le conseguenti registrazioni all’interno del registro data breach.
In risposta all’azione informativa e di supporto offerta dall’Authority, adesso le organizzazioni devono quanto meno verificare e riesaminare le procedure predisposte e la conformità dei contenuti delle stesse con le indicazioni della normativa applicabile in materia di protezione dei dati personali.
Sul piano operativo non è infatti sufficiente svolgere un mero richiamo formale alla fonte esterne, bensì occorre recepire le indicazioni adeguandole al contesto, all’interno del quale, andranno ad intervenire con definizione di ruoli, responsabilità, istruzioni operative e strumenti dedicati. Ad esempio: prevedendo un metodo di valutazione delle violazioni e la conseguente registrazione delle stesse, in coordinamento con le azioni correttive da predisporre per assolvere agli obblighi di sicurezza di cui all’art. 32 GDPR secondo un piano coerente, aggiornato ed efficace di incident response.
